此PR来源于DxGit Forker群内日常交流,感谢@Coxxs 大佬提出此功能具有安全隐患。

此PR为安全性问题,建议所有站点尽快更新。(手动security tag :smile:

目前在UCenter系统上通过URL添加应用模块内发现一个漏洞,此漏洞可以对UCenter创始人密码进行无限次爆破,且后台日志无记录。

考虑到此功能不支持验证码等验证形式,本PR添加了通过URL添加应用功能的开关,强烈建议只有需要通过URL添加应用时开启此开关。

同时考虑到此功能有可能会被打开,因此同时参考后台登录模块策略,对从URL添加应用来的登录请求进行限制(IP、用户),并且对从此API发起的登录、添加、查询操作均纳入UCenter现有日志体系进行统一监管。

关联Issue: https://gitee.com/ComsenzDiscuz/DiscuzX/issues/I17GH0